Компания Silverfort выпустила свой первый отчет “Identity Underground”, основанный на данных, полученных из сотен производственных сред. В отчете раскрывается распространенность Identity Threat Exposures (ITEs) – слабых мест в системе безопасности, таких как неправильная конфигурация, устаревшие настройки и небезопасные функции, которые позволяют злоумышленникам красть учетные данные, повышать привилегии и перемещаться вбок незамеченными.
ОСНОВНЫЕ ВЫВОДЫ:
- 67% организаций синхронизируют пароли локальной AD с облаком, открывая доступ к SaaS-приложениям.
- 37% администраторов используют слабо зашифрованную NTLM-аутентификацию
- Одна неправильная конфигурация AD создает в среднем 109 учетных записей “теневых администраторов”
- 31% всех аккаунтов – это неконтролируемые служебные аккаунты с высокими привилегиями
Распространенная практика синхронизации AD с облачными провайдерами идентификации позволяет локальным уязвимостям напрямую влиять на безопасность SaaS. Silverfort классифицировал ITE на “раскрыватели паролей”, “эскалаторы привилегий”, “латеральные перемещатели” и “уклонисты от защиты”, чтобы помочь организациям понять и определить приоритеты в устранении этих критических пробелов.
КЛЮЧЕВЫЕ СЛОВА: Silverfort, отчет Identity Underground, безопасность идентификации, угрозы идентификации (ITEs), Active Directory (AD), облачная идентификация, синхронизация паролей, NTLM, теневые администраторы, служебные учетные записи.
ИНТЕРЕСНЫЕ МОМЕНТЫ:
- Устаревший протокол NTLMv1, который используют 7% администраторов, позволяет легко взломать хэши паролей
- Одна-единственная ошибка в конфигурации AD вызвала “всплеск теневых администраторов” – в одном случае 1000 новых администраторов
- 13 % аккаунтов – это неактивные “несвежие аккаунты”, которые злоумышленники могут скомпрометировать незамеченными
- Учетные записи опытных пользователей имеют доступ на уровне администратора, не входя в группы администраторов
ПОЛНАЯ ИСТОРИЯ:
Компания по кибербезопасности Silverfort опубликовала первый в своем роде отчет “Identity Underground”, в котором приводится тревожная статистика слабых мест в системе безопасности идентификации в корпоративных средах. Проанализировав данные из сотен сетей, авторы отчета обнаружили, что 67% организаций регулярно синхронизируют пароли пользователей локальной Active Directory (AD) с облаком. Это непроизвольно переносит пробелы в безопасности локальных систем на облачные приложения и идентификаторы.
Silverfort придумал термин “Identity Threat Exposures” (ITEs) для описания неправильных конфигураций, устаревших настроек, забытых учетных записей и небезопасных функций, которые позволяют злоумышленникам компрометировать учетные данные, получать несанкционированные привилегии и перемещаться вбок, не будучи обнаруженными существующими средствами контроля безопасности.
В отчете ITE были разделены на четыре класса:
- Раскрыватели паролей – позволяют злоумышленникам получать пароли в открытом виде.
- Эскалаторы привилегий – позволяют злоумышленникам получать более высокие привилегии
- Lateral Movers – облегчают незамеченное боковое движение
- Уклонисты от защиты – делают мониторинг безопасности менее эффективным
Конкретные примеры неохваченных ITE включают в себя:
- 37% администраторов проходят аутентификацию по устаревшему протоколу NTLM, раскрывая свои пароли
- 7% все еще используют еще более слабый протокол NTLMv1, что делает взлом паролей в оффлайне тривиальным
- Одна неверная конфигурация AD создает в среднем 109 учетных записей “теневых администраторов”, которые могут сбрасывать пароли реальных администраторов. В одном случае неправильная конфигурация породила 1000 теневых администраторов.
- 31% всех учетных записей – это слишком привилегированные служебные учетные записи, не имеющие достаточной видимости и защиты
- 13% – это неактивные “несвежие аккаунты”, которые злоумышленники могут захватить незаметно для всех.
- Некоторые обычные пользователи имеют доступ на уровне администратора ко многим системам, не входя ни в какие группы администраторов
Сильверфорт подчеркнул, что распространенная практика синхронизации учетных записей AD с облачными провайдерами идентификации, такими как Azure AD, позволяет локальным ITE напрямую влиять на безопасность SaaS-приложений. Например, злоумышленник, взломавший хэш NTLM-пароля администратора, может использовать эти же учетные данные для доступа к важным облачным приложениям и данным.
Цель отчета – создать основу для обсуждения и определения приоритетов ITE, чтобы команды по идентификации и безопасности могли совместно работать над их устранением. Рекомендации включают в себя получение видимости ITE, устранение рисков там, где это возможно, тщательный мониторинг служебных и привилегированных учетных записей, а также внедрение превентивных мер, таких как MFA и сегментация идентификационных данных.
ИСТОЧНИКИ
- Подпольный отчет “Идентификация
https://www.silverfort.com/resources/report/the-identity-underground-report/ - Исследование Silverfort Research показало, что две трети компаний синхронизируют пароли On-prem с облачными средами, открывая свое облако для кибератак.
https://www.prnewswire.com/news-releases/silverfort-research-finds-two-thirds-of-businesses-sync-on-prem-passwords-to-cloud-environments-opening-their-cloud-to-cyberattack-302098639.html - Ознакомление с наиболее критическими пробелами в системе безопасности идентификации – Silverfort
https://www.silverfort.com/blog/the-identity-underground-report-deep-insight-into-the-most-critical-identity-security-gaps/ - Раскрытие угроз идентификации – TechSpective
https://techspective.net/2024/04/01/unearthing-identity-threat-exposures/ - Silverfort привлекает $116M, чтобы обеспечить единый уровень безопасности идентификации для всех корпоративных ресурсов, включая ранее незащищенные.
https://www.prnewswire.com/news-releases/silverfort-raises-116m-to-deliver-a-unified-layer-of-identity-security-across-all-enterprise-resources-including-previously-unprotectable-ones-302039634.html - Исследование показало, что большинство компаний синхронизируют пароли локальных систем с облачными средами
https://tdwi.org/articles/2024/03/26/silverfort-study-password-sync.aspx - Silverfort обнаружил, что предприятия открывают облако для кибератак
https://www.silverliningsinfo.com/newswire/silverfort-finds-businesses-opening-cloud-cyberattacks - Унифицированная платформа защиты личности Silverfort
https://www.silverfort.com